Poltica de Seguridad Informtica en la RED LAN

Exposicin de motivos
Ante el esquema de globalizacin que las tecnologas de la informacin han
originado principalmente por el uso masivo y universal de la Internet y sus tecnologas,
las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear,
robar se convierte en retos para delincuentes informticos universales conocidos como
Hackers, rakers, etc!, es decir en transgresores!
onforme las tecnologas se han esparcido, la severidad y frecuencia las han
transformado en un contnuo riesgo, que obliga a las entidades a crear medidas de
emergencia y polticas definitivas para contrarestar estos ataques y transgresiones!
"n nuestro pas no e#iste una sola institucin que no se haya visto su$eta a los
ataques en sus instalaciones, tanto desde el interior como del e#terior, basta decir que
cuando en el centro estamos su$etos a un ataque un grupo de gente se involucran y estn
pendientes de %ste, traatando de contrarestar y anular estas amenazas reales!
&a carencia de recursos humanos involucrados en seguridad, la escasa
concientizacin, la falta de visin y las limitantes econmicas han retrasado un plan
concienzudo de seguridad que se a$uste a las nesecidades!
"l ob$etivo principal del 'epartamento de (elemtica es brindar a los usuarios los
recursos informticos con la cantidad y calidad que demandan, esto es, que tengamos
continuidad y confiabilidad en el servicio! As, la cantidad de recursos de
cmputo y de telecomunicaciones con que cuenta la )"' del *alacio de +obierno son de
consideracin y se requiere que se prote$an para garantizar su buen funcionamiento!
As pues, ante este panorama surge el siguiente proyecto de polticas rectoras que
harn que la 'ireccin de (elemtica pueda disponer de los e$es de proyeccin que en
materia de seguridad la Institucin requiere!
Resumen
"l presente es una propuesta de las polticas de seguridad que en materia de
informtica y de comunicaciones digitales del 'epartamento de (elemtica del ,A("-, ha
elaborado, para normar a la institucin en estos rubros!
,e mencionan, as como todos los aspectos que representan un riesgo o las acciones donde
se ve involucrada y que compete a las tecnologas de la informacin. se han contemplado
tambi%n las polticas que refle$an la visin de la actual administracin respecto a la
problemtica de seguridad informtica institucional!
&a propuesta ha sido detenidamente planteada, analizada y revisada a fin de no
contravenir con las garantas bsicas del individuo, y no pretende ser una camisa de
fuerza, y ms bien muestra una buena forma de operar el sistema con seguridad,
respetando en todo momento estatutos y reglamentos vigentes de la Institucin!
Introduccin
&os requerimientos de seguridad que involucran las tecnologas de la
informacin, en pocos a/os han cobrado un gran auge, y ms a0n con las de carcter
globalizador como los son la de Internet y en particular la relacionada con el 1eb, la
visin de nuevos horizontes e#plorando ms all de las fronteras naturales, situacin que
ha llevado la aparicin de nuevas amenazas en los sistemas computarizados !
&levado a que muchas organizaciones gubernamentales y no gubernamentales
internacionales desarrollen polticas que norman el uso adecuado de estas destrezas
tecnolgicas y recomendaciones para aprovechar estas venta$as, y evitar su uso indebido,
ocasionando problemas en los bienes y servicios de las entidades!
'e esta manera, las polticas de seguridad en informtica de la )"' &A2 de la Institucin
se emergen como el instrumento para concientizar a sus miembros acerca de la importancia
y
sensibilidad de la informacin y servicios crticos, de la superacin de las fallas y de las
debilidades, de tal forma que permiten cumplir con su misin efectivamente!
"l proponer esta poltica de seguridad requiere un alto compromiso con la
institucin, agudeza t%cnica para establecer fallas y deficiencias, constancia para renovar
y actualizar dicha poltica en funcin del ambiente dinmico que nos rodea!
"l uso de la poltica de seguridad de red debe proteger las redes y riesgos y p%rdidas
asociadas con recursos de red y seguridad!
&as *olticas de ,eguridad de )ed son la responsabilidad de encontrar una reputacin as
como responsabilidad potencial!
&a p%rdida de datos o la revelacin no autorizada de la informacin de ordenadores
institucionales, archivos de personal, y sistemas financieros podran afectar enormemente a
la institucin!
&os ob$etivos de la poltica de seguridad de red son establecer polticas proteger las redes y
sistemas de ordenador del uso inadecuado!
&os mecanismos de *olticas de ,eguridad de )ed ayudarn en la identificacin y la
prevencin del abuso de sistemas de ordenador y redes!
&as *olticas de ,eguridad de )ed establecen mecanismos que protegern y satisfarn
responsabilidades legales a sus redes y conectividad de sistemas de ordenador al Internet
mundial!
&os mecanismos de *olticas de ,eguridad de )ed apoyarn los ob$etivos de e#istir
polticas!
Polticas de seguridad
"l departamento de (elemtica est conformado por el rea de t%cnicos en programacin y
el rea de t%cnicos en )edes! ,e encargan de brindar servicio a todas las de entes
gubernamentales, en el mbito de competencia que tiene cada uno de ellos en materia de
informtica, desde el equipamiento, instalacin, alteracin, cambio de lugar, programacin,
etc! *or lo que ha sido necesario emitir polticas particulares para la )"' &A2 , que es el
nombre oficial de un con$unto de recursos y facilidades informticas, de la infraestructura
de telecomunicaciones y servicios asociados a ellos, provistos el 'epartamento de
(elemtica! As pues este apartado contiene una clasificacin de estas polticas, y son3
Del euipo
'e la instalacin de equipo de cmputo!
(odo el equipo de cmputo 4computadoras, estaciones de traba$o,
supercomputadoras, y equipo accesorio5, que est% o sea conectado a la Red!
LAN de la Institucin, o aquel que en forma autnoma se tenga y que sea propiedad de la
institucin debe de su$etarse a las normas y procedimientos de instalacin que emite
el departamento de )edes de la 'ireccin de (elemtica!
"l equipo de la institucin que sea de propsito especfico y tenga una misin crtica
asignada, requiere estar ubicado en una rea que cumpla con los requerimientos de3
seguridad fsica, las condiciones ambientales, la alimentacin el%ctrica, su acceso que
la 'ireccin de (elemtica tiene establecido en su normatividad de este tipo!
&os responsables de las reas de apoyo interno de los departamentos debern en
con$uncin con el departamento de )edes dar cabal cumplimiento con las normas de
instalacin, y notificaciones correspondientes de actualizacin, reubicacin,
reasignacin, y todo aquello que implique movimientos en su ubicacin, de
ad$udicacin, y sistema!
666&a proteccin fsica de los equipos corresponde a quienes en un principio se les
asigna, y corresponde notificar los movimientos en caso de que e#istan, a las
autoridades correspondientes 4departamento de -antenimiento, departamento de
mputo, departamento de ontrol *atrimonial, y otros de competencia5!
'el mantenimiento de equipo
7!orresponde la realizacin del mantenimiento preventivo y correctivo de los equipos, la
conservacin de su instalacin, la verificacin de la seguridad fsica, y su
acondicionamiento especfico a que tenga lugar a los t%cnicos de cada dependencia! *ara
tal fin debe emitir las normas y procedimientos respectivos!
8! "n el caso de los equipos atendidos por terceros al 'epartamento de (elemtica deber
normar al respecto!
9! "l personal t%cnico de apoyo interno de los departamentos acad%micos se apegar a
los requerimientos establecidos en las normas y procedimientos que el departamento
de (elematica emita!
:! &os responsables de otorgar mantenimiento preventivo y correctivo seran por parte
t%cnica de cada dependencia y si en alg0n momento nenecita apoyo de la unidad de redes
seria previo solicitud y a partir del momento en que sean autorizados!
;! orresponde al departamento de )edes dar a conocer las listas de las personas, que
puedan tener acceso a los equipos y brindar los servicios de mantenimiento bsico, a
e#cepcin de los atendidos por terceros!
<! *or motivos de normatividad e#pedidos por la 'ireccion de ,A("- queda estrictamente
prohbido dar mantenimiento a equipo de cmputo que no es propiedad de la
institucin!
'e la actualizacin del equipo!
7! (odo el equipo de cmputo 4computadoras personales, estaciones de traba$o,
supercomputadora y dems relacionados5, y los de telecomunicaciones que sean
propiedad del debe procurarse sea actualizado tendiendo a conservar e
incrementar la calidad del servicio que presta, mediante la me$ora sustantiva de su
desempe/o!
'e la reubicacin del equipo de cmputo!
7! &a reubicacin del equipo de cmputo se realizar satisfaciendo las normas y
procedimientos que el departamento de )edes emita para ello!
8! ,i el personal t%cnico de apoyo de las dems dependencias realiza un cambio , %ste
notificar de los cambios tanto fsicos como de soft=are de red que realice al
departamento de )edes, y en su caso si cambiar de responsable!
Del control de accesos
Del acceso a reas crticas"
"l acceso de personal se llevar acabo de acuerdo a las normas y procedimientos que
dicta el 'epartamento de (elemtica!
'ebe haber una infraestructura de seguridad requerida con base en los requerimientos
especficos de cada rea!
>a$o condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a
las reas de servicio crtico estar su$eto a las que especifiquen las autoridades superiores
de la institucin!
'el control de acceso al equipo de cmputo!
(odos y cada uno de los equipos son asignados a un responsable, por lo que es de su
competencia hacer buen uso de los mismos!
&as reas donde se tiene equipo de propsito general cuya misin es crtica estarn
su$etas a los requerimientos que el 'epartamento de (elemtica emita!
&as reas de cmputo de los departamentos donde se encuentre equipo cuyo propsito
re0na caractersticas de imprescindible y de misin crtica, debern su$etarse tambi%n a las
normas que establezca el 'epartamento de (elemtica!
&os accesos a las reas de crticas debern de ser clasificados de acuerdo a las normas que
dicte el 'epartamento de (elemtica de com0n acuerdo con su comit% de seguridad
informtica!
'ada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la
'ireccin de (elemtica tiene la facultad de acceder a cualquier equipo de cmputo que no
est%n ba$o su supervisin!
Del control de acceso local a la red"
7! "l departamento de (elemtica es responsable de proporcionar a los usuarios el acceso a
los recursos informticos!
8! "l departamento de (elemtica es la responsable de difundir el reglamento para el uso
de la red y de procurar su cumplimiento!
9! 'ado el carcter unipersonal del acceso a la )"' &A2, el departamento de
mputo verificar el uso responsable, de acuerdo al )eglamento para el uso de la
red!
:! "l acceso lgico a equipo especializado de cmputo 4servidores, enrutadores, bases
de datos, equipo de supercmputo centralizado y distribuido, etc!5 conectado a la red
es administrado por el departamento de (elemtica o su defecto por la persona encargada
del sistema de la depencia!
;! (odo el equipo de cmputo que est% o sea conectado a la )"' &A2, o aquellas
que en forma autnoma se tengan y que sean propiedad de la institucin, debe de
su$etarse a los procedimientos de acceso que emite el departamento
De control de acceso remoto"
7! &a 'ireccin de (elemtica es la responsable de proporcionar el servicio de acceso
remoto y las normas de acceso a los recursos informticos disponibles!
8! *ara el caso especial de los recursos de supercmputo a terceros debern ser
autorizados por el departamento!
9! "l usuario de estos servicios deber su$etarse al )eglamento de uso de la Red!
LAN y en concordancia con los lineamientos generales de uso de Internet!
:! "l acceso remoto que realicen personas a$enas a la institucin deber cumplir las
normas que emite el 'epartamento de (elemtica!
De acceso a los sistemas administrativos"
(endr acceso a los sistemas administrativos solo el personal autorizado por el
'epartamento de (elemtica de personal de apoyo administrativo o t%cnico!
&os servidores de bases de datos administrativos son dedicados, por lo que se
prohben los accesos de cualquiera, e#cepto para el personal del departamento de
(elemtica
"l control de acceso a cada sistema de informacin de la 'ireccin Administrativa ser
determinado por la unidad responsable de generar y procesar los datos involucrados!
"l departamento de (elemtica deber emitir las normas y los requerimientos para la
instalacin de servidores de pginas locales, de bases de datos, del uso de la Intranet
institucional, as como las especificaciones para que el acceso a estos sea seguro!
9! &os accesos a las pginas de =eb a trav%s de los navegadores deben su$etarse a las
normas que previamente se manifiestan en el )eglamento de acceso a la )"' &A2
"l 'epartamento de (elemtica tiene la facultad de llevar a cabo la revisin peridica de
los accesos a nuestros servicios de informacin, y conservar informacin del trfico!
De utili#acin de los recursos de la red
&os recursos disponibles a trav%s de la )ed?&A2 sern de uso e#clusivo para asuntos
relacionados con las actividades sustantivas de la institucin!
"l 'epartamento de (elemtica es la responsable de emitir y dar seguimiento al
)eglamento para el uso de la )ed!
'e acuerdo con las disposiciones de la 'ireccin de Administracion, corresponde al
'epartamento de (elemtica administrar, mantener y actualizar la infraestructura de la
)ed?&A2!
&a 'ireccin de (elemtica debe propiciar el uso de las tecnologas de la informacin con
el fin de contribuir con las directrices econmicas y ecolgicas de la institucin!
'ado el carcter confidencial que involucra el correo electrnico el omit% de informtica
del entro emite su reglamentacin!
De la instalacin de soft$are"
orresponde al departamento de mputo emitir las normas y procedimientos para la
instalacin y supervisin del soft=are bsico para cualquier tipo de equipo!
&os departamentos de mputo y de Informtica son los responsables de brindar
asesora y supervisin para la instalacin de soft=are informtico, asmismo el
departamento de )edes para el soft=are de telecomunicaciones!
on el propsito de proteger la integridad de los sistemas informticos y de
telecomunicaciones, es imprescindible que todos y cada uno de los equipos
involucrados dispongan de soft=are de seguridad 4antivirus, vacunas, privilegios de
acceso, y otros que se apliquen5!
'e la actualizacin del soft=are!
&a adquisicin y actualizacin de soft=are para equipo especializado de cmputo y
de telecomunicaciones se llevar a cabo de acuerdo a la calendarizacin que
anualmente sea propuesta por el 'epartamento de (elemtica!
&as actualizaciones del soft=are de uso com0n o ms generalizado se llevarn a cabo
de acuerdo al plan de actualizacin desarrollado por el 'epartamento de (elemtica!
:! "s obligacin de todos los usuarios que mane$en informacin masiva, mantener el
respaldo correspondiente de la misma ya que se considera como un activo de la
institucin que debe preservarse!
;! &os datos, las bases de datos, la informacin generada por el personal y los recursos
informticos de la institucin deben estar resguardados!
<! orresponder al 'epartamento de (elemtica promover y difundir los mecanismos de
respaldo y salvaguarda de los datos y de los sistemas programticos que se encuentra a
cargo de la unidad y traba$en en la )"' &A2!
De supervisin % evaluacin
ada uno de los departamentos de la 'ireccin de (elemtica donde est% en riesgo la
seguridad en la operacin, servicio y funcionalidad del departamento, deber emitir las
normas y los procedimientos que correspondan!
&as auditorias de cada actividad donde se involucren aspectos de seguridad lgica y fsica
debern realizarse peridicamente y deber su$etarse al calendario que stablezca el
'epartamento de (elemtica y@o el grupo especializado de seguridad!
*ara efectos de que la institucin disponga de una red con alto grado de confiabilidad, ser
necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que
las tecnologas de la Internet e Intranet disponen!
&os sistemas considerados crticos, debern estar ba$o monitoreo permanente!
&enerales"
ada uno de los dependencias debern de emitir o facilitar informacin de su red y
quien la administra de manera que se logre la me$or comunicacin y optimizacin
de la misma a trav%s de el departamento de (elemtica!
'ebido al carcter confidencial de la informacin, el personal del 'epartamento de
(elemtica deber de conducirse de acuerdo a los cdigos de %tica profesional y
normas y procedimientos establecidos!
ada miembro que se incorpore a la )"' &A2 como usuario de sus servicios, debe
acogerse a las polticas de la )ed. enmarcando su participacin en el proyecto,
dentro del espritu de cooperacin y desempe/o descrito en este documento!
"l uso de un cdigo es estrictamente personal! >a$o ninguna circunstancia un
usuario debe permitir que su cdigo sea empleado en actividades fuera de su control
directo!
2o debe usarse la red para uso personal o a$eno a tales fines!
2o se permite la transmisin de archivos de ms de 9AA,AAA bytes! ,i es necesario,
un archivo o documento ser particionado en segmentos que no superan ese lmite!
"sta norma, que est vigente en todos los nodos de la red, pretende evitar
saturaciones en los mismos!
"l uso de mensa$es interactivos 'messeger (otmail) messeger %a*oo % otros+ debe
ser discreto! 2o se recomienda hacer uso frecuente de estos mensa$es, ya que
pueden distraer la labor del destinatario y pueden causar saturaciones en los
servicios de la red!
2o debe usarse el sistema en forma in0til, enviando mensa$es o archivos sin sentido
prctico!
"s responsabilidad de cada usuario colaborar para que los servicios de la red
mantengan un buen desempe/o y enterar al coordinador del programa, en su
institucin o a los encargados del nodo, seg0n corresponda, de las situaciones
irregulares o problemas que detecte!
uando se requiera hacer uso de alg0n recurso, que requiera de un ancho de banda
fuera de proporcin en relacin con el ancho de banda utilizado por la red y que por
consiguiente afecta en forma significativa a todos los usuarios de la red, se debe
coordinar con la administracin central de la )"' &A2 con el fin de asignar un
horario especfico 4basado en las estadsticas de trfico de la red5 que ayude a
obtener el me$or desempe/o posible de dicho recurso
&a informtica y los ,ervicios de one#in de redes supervisarn en de tiempo real,
trfico de red de esqueleto para el descubrimiento de actividad no autorizada,
tentativas de intrusin y equipo comprometido!
&a seguridad, la operacin o la funcionalidad de las mquinas escaneadas no
deberan ser puestas en peligro por la e#ploracin!
Sanciones"
7! ualquier violacin a las polticas y normas de seguridad deber ser sancionada de
acuerdo al reglamento emitido por el 'epartamento de (elemtica!
8! &as sanciones pueden ser desde una llamada de atencin o informar al usuario hasta
la suspensin del servicio dependiendo de la gravedad de la falta y de la malicia o
perversidad que %sta manifiesta!
9! orresponder al omit% de Informtica hacer las propuestas finales sobre las
sanciones a quienes violen las disposiciones en materia de informtica de la
institucin!
:! (odas las acciones en las que se comprometa la seguridad de la )"' &A2 y que
no est%n previstas en esta poltica, debern ser revisadas por 'ireccin de Administracin y
el 'epartamento de (elemtica para dictar una resolucin su$etndose al estado de derecho!
Notas
7! "sta poltica de seguridad deber seguir un proceso de actualizacin peridica su$eto
a los cambios organizacionales relevantes3 crecimiento de la planta de personal,
cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre
otros!
8! "l documento que contiene la poltica de seguridad deber ser difundido a todo el
personal involucrado en la definicin de estas polticas!
&losario"
Departamento de Redes"
"s la entidad encargada de desarrollar el plan estrategico de conectividad de la )"' &A2
que favoresca la prestacin de servicios eficientes, eficaces y deutilidad en la transmisin
de datos, voz y video para apoyar efectivamente los requerimientos del usuario!
Departamento de Informtica"
"s la entidad encargada del buen uso de las tecnologas de la computacin,
organizacin y optimizacin de los recursos computacionales de la institucin
"s la entidad encargada de ofrecer sistemas de informacin administrativa
integral permitiendo en forma oportuna satisfacer necesidades de informacin, como
apoyo en el desarrollo de las actividades propias del centro!
Area ,rtica"
"s el area fsica donde se encuentra instalado el equipo de cmputo y
telecomunicaciones que requiere de cuidados especiales y son indispensables para el
funcionamiento contnuo de los sistemas de comuncacin del centro! 4 o )"' &A25!
Euipo de -elecomunicaciones"
(odo dispositivo capaz de transmitir y@o recibir se/ales digitales o analgicas
para comunicacin de voz, datos y video, ya sea individualmente o de forma con$unta!
Euipo de ,mputo"
'ispositivo con la capacidad de aceptar y procesar informacin en base a
programas establecidos o instrucciones previas, teniendo la oportunidad de conectarse a
una red de equipos o computadoras para compartir datos y recursos, entregando
resultados mediante depliegues visuales, impresos o audibles!
IP ! Internet *rotocol!
*arte de la familia de protocolos (*@I*, que describe el sof=are que supervisa
las direcciones de nodo internet, encamina mensa$es salientes y reconoce los mensa$es
entrantes!
Direccin de IN-ERNE-"
Identificador 0nico de 98 bits para una computadora principal (*@I* en una
)"'! (ambi%n llamada un *rotocolo Intenet o direccion I*! &as direcciones I* estn
normalmente impresas en una forma decimal de puntos, tal como 7;A!789!;A!99:
,ontrol de Acceso"
7! (%cnica usada para definir el uso de programas o limitar la obtencin y
almacenamiento de datos a una memoria!
8! Bna caracterstica o t%cnica en un sistema de comunicaciones para permitir o
negar el uso de algunos componentes o algunas de sus funciones!